99精品国产综合久久久久五月天,免费观看欧美大片毛片不用播放器 ,AV无码理论片在线观看免费网站,国产精品国产成人国产三级

Board logo

標題: [求助] @admin 木馬被抓住了,看來是wdcp的問題 [打印本頁]
作者: impig33    時間: 2016-4-18 14:20     標題: @admin 木馬被抓住了,看來是wdcp的問題

本帖最后由 impig33 于 2016-4-25 15:27 編輯

@admin

過程是這樣的:
14日早上,接到ISP的郵件,說是在過去兩個小時內(nèi),我的vps cpu占用100%,并且流量巨大,被封了。

于是通過第三方的面板進去,查進程有一個www用戶運行著host命令,cpu占用100%。

由于我的機子平時比較注意,ftp ssh wdlinux都已改過端口,并且開機并不啟動服務(wù),對外只提供了80端口。
基于安全,我還是進去看了日志,這幾個都沒有問題。


那問題最大的可能是在80了,我下載了出問題時間點半個月以內(nèi)的日志。

發(fā)現(xiàn)有大量的基于目錄的猜測,比如(晚上補圖):

/phpmyadmin
/phpmyadmin2.8
/phpmyadmin3.0
...
/admin
/admincp.php
...

還有大量的
access_log  (注意是127.0.0.1和post操作)
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208



[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat


這個xmlrpc.php是wordpress平臺常見的一個漏洞。但上述的猜測地址/xmlrpc.php并不存在,所以留下大量日志。
注意,問題是來源ip是127.0.0.1



我的猜測是,黑客之前已經(jīng)通過掃描某些漏洞,比如html在線編輯器的上傳,把某些工具傳到了服務(wù)器,然后通過http://xxx/工具 在操作。

于是我做了兩件事:
1.將/user/bin/host 鎖住,給于000權(quán)限。
2.將blog的/xmlrpc.php 改名并給000權(quán)限。


這時,流量和cpu占用都恢復(fù)了,但是木馬還在體內(nèi),經(jīng)過一天的觀察,127.0.0.對本機的xmlrpc.php的post操作,還在繼續(xù)產(chǎn)生大量日志。
127.0.0.1 - - [15/Apr/2016:10:10:42 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208


請大家支招,謝謝!



-----20160419----------------

木馬被抓到了,確認是從web上傳了木馬,然后用www用戶執(zhí)行了,幸好沒有搞到root。

木馬樣本發(fā)上來,供@admin 分析。

鏈接: http://pan.baidu.com/s/1hr48axu 密碼: zsac


接來來的問題是:

1.怎樣找出漏洞地址?
2.怎么補系統(tǒng)漏洞?


.
作者: impig33    時間: 2016-4-20 09:27

版主在哪里?
壇主在哪里?
作者: admin    時間: 2016-4-20 15:16

很明白,這個是WEB漏洞或上傳,與wdcp何關(guān)?
作者: gutao3800    時間: 2016-4-20 16:04

不管事誰的問題,表示關(guān)注,另如果解決了希望分享一下!
作者: impig33    時間: 2016-4-21 09:20

很明白,這個是WEB漏洞或上傳,與wdcp何關(guān)?
admin 發(fā)表于 2016-4-20 15:16



   我的見解:

1.wdcp是不是給了過大的目錄權(quán)限?


2.wdcp的php配置中沒有禁用高危函數(shù)


3.希望wdcp能加入一些安全功能,比如fail2ban和網(wǎng)頁防火墻之類的


請壇主指示!
作者: impig33    時間: 2016-4-21 09:21

很明白,這個是WEB漏洞或上傳,與wdcp何關(guān)?
admin 發(fā)表于 2016-4-20 15:16



   請壇主看下木馬樣本,幫分析一下,謝謝
作者: impig33    時間: 2016-4-25 09:07

壇主,求關(guān)注
作者: fictioner    時間: 2017-7-23 10:16

最近dz3.2程序的論壇被攻擊,文件被隨意刪除,hacker極其囂張,懷疑也是所有人為www的問題。
后來未使用wdcp,自己搭建環(huán)境,所有目錄文件所有人為root,現(xiàn)在一切正常。



歡迎光臨 WDlinux官方論壇 (http://fudaan.com/bbs/) Powered by Discuz! 7.2